Portas e protocolos necessários para identidade híbrida
O documento a seguir é uma referência técnica sobre as portas e protocolos necessários para implementar uma solução de identidade híbrida. Use a ilustração a seguir e consulte a tabela correspondente.
Tabela 1 – Microsoft Entra Connect e AD local
Esta tabela descreve as portas e os protocolos necessários para a comunicação entre o servidor do Microsoft Entra Connect e o AD local.
| Protocolo | Portas | Descrição |
|---|---|---|
| DNS | 53 (TCP/UDP) | Pesquisas de DNS na floresta de destino. |
| Kerberos | 88 (TCP/UDP) | Autenticação Kerberos na floresta do AD. |
| MS-RPC | 135 (TCP) | Usado durante a configuração inicial do assistente do Microsoft Entra Connect quando ele se associa à floresta do AD e também durante a sincronização de senha. |
| LDAP | 389 (TCP/UDP) | Usado para importação de dados do AD. Os dados são criptografados com o Selo & de Assinatura kerberos. |
| SMB | 445 (TCP) | Usado pelo SSO contínuo para criar uma conta de computador na floresta do AD e durante o write-back de senha. Para obter mais informações, consulte Alterar a senha de uma conta de usuário. |
| LDAP/SSL | 636 (TCP/UDP) | Usado para importação de dados do AD. A transferência de dados é assinada e criptografada. Usado somente se você estiver usando TLS. |
| RPC | 49152- 65535 (Porta RPC alta aleatória) (TCP) | Usado durante a configuração inicial do Microsoft Entra Connect quando ele se associa às florestas do AD e durante a sincronização de senha. Se a porta dinâmica tiver sido alterada, você precisará abrir essa porta. Consulte KB929851, KB832017e KB224196 para obter mais informações. |
| WinRM | 5985 (TCP) | Usado somente se você estiver instalando o AD FS com gMSA pelo Assistente do Microsoft Entra Connect |
| Serviços Web do AD DS | 9389 (TCP) | Usado somente se você estiver instalando o AD FS com gMSA pelo Assistente do Microsoft Entra Connect |
| Catálogo Global | 3268 (TCP) | Usado pelo SSO Contínuo para consultar o catálogo global na floresta antes de criar uma conta de computador no domínio. |
Tabela 2 – Microsoft Entra Connect e Microsoft Entra ID
Esta tabela descreve as portas e os protocolos necessários para a comunicação entre o servidor do Microsoft Entra Connect e a ID do Microsoft Entra.
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTP | 80 (TCP) | Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Usado para sincronizar com a ID do Microsoft Entra. |
Para obter uma lista de URLs e endereços IP que você precisa abrir no firewall, consulte urls do Office 365 e intervalos de endereços IP e Solução de problemas de conectividade do Microsoft Entra Connect.
Tabela 3 – Servidores de Federação do Microsoft Entra Connect e AD FS/WAP
Esta tabela descreve as portas e os protocolos necessários para a comunicação entre o servidor do Microsoft Entra Connect e os servidores wap/federação do AD FS.
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTP | 80 (TCP) | Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Usado para sincronizar com a ID do Microsoft Entra. |
| WinRM | 5985 | Ouvinte do WinRM |
Tabela 4 – WAP e servidores de federação
Esta tabela descreve as portas e os protocolos necessários para a comunicação entre os servidores de Federação e os servidores WAP.
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para autenticação. |
Tabela 5 – WAP e usuários
Esta tabela descreve as portas e os protocolos necessários para a comunicação entre os usuários e os servidores WAP.
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para autenticação de dispositivo. |
| TCP | 49443 (TCP) | Usado para autenticação de certificado. |
Tabela 6a & 6b – Autenticação de Passagem com SSO (Logon Único) e Sincronização de Hash de Senha com SSO (Logon Único)
As tabelas a seguir descrevem as portas e os protocolos necessários para a comunicação entre o Microsoft Entra Connect e a ID do Microsoft Entra.
Tabela 6a – Autenticação de Passagem com SSO
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTP | 80 (TCP) | Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL. Também é necessário que o recurso de atualização automática do conector funcione corretamente. |
| HTTPS | 443 (TCP) | Usado para habilitar e desabilitar o recurso, registrar conectores, baixar atualizações do conector e lidar com todas as solicitações de entrada do usuário. |
Além disso, o Microsoft Entra Connect precisa ser capaz de fazer conexões IP diretas com os intervalos de IP data center do Azure.
Tabela 6b – Sincronização de Hash de Senha com SSO
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para habilitar o registro de SSO (necessário apenas para o processo de registro de SSO). |
Além disso, o Microsoft Entra Connect precisa ser capaz de fazer conexões IP diretas com os intervalos de IP data center do Azure. Novamente, isso só é necessário para o processo de registro de SSO.
Tabela 7a & 7b – Agente do Microsoft Entra Connect Health para (AD FS/Sync) e ID do Microsoft Entra
As tabelas a seguir descrevem os pontos de extremidade, as portas e os protocolos necessários para a comunicação entre os agentes do Microsoft Entra Connect Health e a ID do Microsoft Entra
Tabela 7a – Portas e protocolos para o agente do Microsoft Entra Connect Health para (AD FS/Sync) e a ID do Microsoft Entra
Esta tabela descreve as seguintes portas de saída e protocolos necessários para comunicação entre os agentes do Microsoft Entra Connect Health e a ID do Microsoft Entra.
| Protocolo | Portas | Descrição |
|---|---|---|
| Barramento de Serviço do Azure | 5671 (TCP) | Usado para enviar informações de integridade para a ID do Microsoft Entra. (recomendado, mas não necessário nas versões mais recentes) |
| HTTPS | 443 (TCP) | Usado para enviar informações de integridade para a ID do Microsoft Entra. (failback) |
Se o 5671 estiver bloqueado, o agente retornará para 443, mas é recomendável usar o 5671. Esse ponto de extremidade não é necessário na versão mais recente do agente. As versões mais recentes do agente do Microsoft Entra Connect Health exigem apenas a porta 443.
7b – Pontos de extremidade para o agente do Microsoft Entra Connect Health para (AD FS/Sync) e a ID do Microsoft Entra
Para obter uma lista de pontos de extremidade, consulte seção Requisitos para o agente do Microsoft Entra Connect Health.